NSX Network Detection and Response は、特定の条件を満たす場合に検出を集約します。

検出イベントは、特定の時点で検出された悪意のあるアクティビティの単一インスタンスに対応するものではありません。代わりに、最大 24 時間以内に発生した同じワークロードに影響する同様のアクティビティを集計します。NSX Network Detection and Response 処理パイプラインによって新しい検出データが受信されると、既存の検出イベントと比較され、既存の検出イベントに集約できるかどうかが判断されます。集約できる場合は、その既存の検出イベントに追加されます。集約できない場合は、新しい検出イベントが作成されます。この集約は、特定の条件が満たされた場合に発生する可能性があります。

検出を単一の検出イベントに集約することを検討する場合は、次の条件を満たす必要があります。

• 検出イベントの継続時間が全体で 24 時間を超えない。
• 同じワークロードが影響を受ける：
  • 同じ仮想マシン UUID（存在する場合）
  • 同じ IP アドレス（存在する場合）
• イベント タイプが同じである。

• 同じタイプのアクティビティが同じ方法で検出された。

  たとえば、IDS 検出の場合、これは同じシグネチャが一致している必要があることを意味します。